ٹائگر ریسرچ: AI ایجنس کے لیے KYA معیارات قانونی دباؤ کے ساتھ تیزی سے مقبول ہو رہے ہیں

یہ رپورٹ Tiger Research کے ذریعہ تیار کی گئی ہے۔ AI ایجینٹ اب خود معاہدے دستخط کر سکتے ہیں، خود ادائیگی کر سکتے ہیں، اور خود ٹریڈ کر سکتے ہیں۔ لیکن ایک مسئلہ حل نہیں ہوا ہے: آپ کیسے جانتے ہیں کہ دوسری طرف والا ایجینٹ کون ہے؟ اس مضمون میں KYA معیار کے لیے چار کھلاڑیوں کے مختلف طریقے اور تنظیمی ترقیات کا جائزہ لیا گیا ہے۔

اہم نکات

1. AI ایجینٹس وہ دور گھر چکے ہیں جب وہ خودکار طور پر معاہدے، ادائیگیاں اور ٹریڈنگ کرتے ہیں، لیکن شناخت کی تصدیق کے لیے مارکیٹ میں ابھی تک کوئی ایک مانند معیار نہیں ہے۔ A2A (ایجینٹ فور ایجینٹ) سیناریوز میں، KYA، KYC کے مقابلے میں زیادہ توجہ حاصل کر رہا ہے۔
2. KYA ہر جگہ ضروری نہیں ہے۔ گوگل، OpenAI، Coinbase جیسے مرکزی پلیٹ فارمز کے اندر، موجودہ KYC کافی ہے۔ حقیقت میں KYA کی ضرورت صرف ان الگ طور پر ڈپلوی کردہ ایجنٹس کے لیے ہوتی ہے جو DEX، A2A ادائیگیاں، اور دکانداروں کی ادائیگیوں میں شامل ہوتے ہیں۔
3. معیار کے مقابلے کا آغاز ہو چکا ہے۔ ERC-8004، ویزا TAP، ٹرولیو، اور سمسب نے 각别 سلسلہ، ادائیگی کے نیٹ ورک، مطابقت کی تصدیق، اور خطرہ کی تشخیص کے چار مختلف راستوں سے داخلہ کیا ہے۔
4. نگرانی پہلے ہی حرکت میں آ چکی ہے۔ یورپی یونین کا AI قانون، امریکہ کا NIST، اور سنگاپور کا قومی فریم ورک سب نے ایجنٹ شناخت کے انتظام کو ترجیحی بنایا ہے۔ 2019 میں FATF کا سفر کا قاعدہ اس بات کا تعین کر چکا تھا کہ کون سے کرپٹو ایکسچینج بچ جائیں گے، اور اس بار KYA کا اسکرپٹ دوبارہ نمٹنے کا امکان ہے۔

KYC نے فنانس کے اس پہلو کو دوبارہ تعریف کیا ہے

1989 کے قبل، عالمی مالیات میں کوئی ایک جنس کی شناخت کی معیار نہیں تھا۔ اس خلا نے منشیات کے پیسے اور سیاہ رقم کو ان کے ذرائع تک پہنچنے سے روکنا مشکل بنایا۔ اس سال FATF کے قیام کے بعد، KYC مالیاتی صنعت کے لیے ایک لازمی ضرورت بن گیا، جس نے غیر قانونی فنڈز کو باہر رکھا۔

اگلے تیس سالوں میں، KYC کا اثر تدریجی طور پر پھیلتا گیا۔ 2001 میں 9/11 کے بعد، امریکہ کے پیٹریوٹ ایکٹ نے KYC کو قانونی الزام بنادیا۔ 2010 کی دہائی میں، یورپی یونین کے AMLD، بیسل III، اور FATCA نے ترتیب سے نافذ ہونا شروع کردیا، جس سے عبوری KYC معلومات کا آٹومیٹک تبادلہ شروع ہوا۔ 2019 میں، FATF کے ٹریول رول نے KYC کو ورچوئل ایسٹس سروس پرکر دیا۔

ہر ایک وسعت، ایک خالی جگہ کو بھرتی ہے۔

بے شناختی ایجنٹ، سسٹم پیچھے ہٹ رہا ہے

ابھی کے لیے واپس آئیں۔ AI ایجینٹس کو کسی انسان کی نگرانی کی ضرورت نہیں ہوتی، وہ خود ہی معاہدے دستخط کرتے ہیں، ادائیگیاں کرتے ہیں اور ٹریڈ کرتے ہیں۔ لیکن کوئی بھی تصدیق نہیں کر سکتا کہ وہ کون ہیں۔

A2A ماحول میں ذمہ داری کا تعین نہیں ہے۔ مسئلہ ہونے پر کسے تلاش کریں، کوئی بھی نہیں بتا سکتا۔ صارفین کو پیسہ دھوئے جانے اور مختلف قسم کے دھوکے کا شکار ہونے کا خطرہ بھی ہے۔

1989 کے قبل کے فنانس اور 2026 کے ایجنٹ مارکیٹ کو ایک ساتھ دیکھیں تو ان کی ساخت حیرت انگیز طور پر مشابہ ہے۔ اس وقت غیر نامی اکاؤنٹس عبوری گردش کر رہے تھے، آج غیر تصدیق شدہ ایجنٹس A2A ٹریڈنگ کر رہے ہیں۔ اس وقت تصدیق کا ذمہ دار ہر بینک کے پاس تھا، آج یہ ذمہ داری ہر پلیٹ فارم کے پاس ہے۔ کوئی مشترکہ معیار نہیں ہے۔

یہ مشابہت تصادفی نہیں، بلکہ ایک قانون ہے۔ ٹیکنالوجی آگے نکل گئی، لیکن شناخت کی سطح پیچھے رہ گئی۔

KYA کیا ہے

KYA (Know Your Agent) ایک اعتماد کا نظام ہے جو ایجنٹ کے ماخذ، اختیارات اور ذمہ داریوں کی پہلے سے تصدیق کرتا ہے۔

اس مرحلے کو چھوڑ دیں، تین خطرات ایک ساتھ ظاہر ہو جائیں گے۔ پہلا خطرہ احکامات کی حد سے تجاوز ہے: صارف نے صرف ادائیگی کی اجازت دی ہے، لیکن ایجنٹ نے اثاثوں کو منتقل کر دیا ہے اور غیر مجاز معاہدے کیے ہیں۔ دوسرا خطرہ شناخت کا دھوکہ ہے: بدمعاش ایجنٹ قانونی ایجنٹ کا دھوکہ دے کر ادائیگیوں کو قبضہ کر لیتا ہے، جھوٹے جوابات دیتا ہے اور عزت کا استعمال کرتا ہے۔ تیسرا خطرہ ذمہ داری کا خالی مقام ہے: جب کوئی واقعہ پیش آئے تو ایجنٹ، ڈویلپر اور مفوض کنندہ آپس میں ذمہ داری ٹھکرانے لگتے ہیں اور معاوضہ حاصل کرنے کا کوئی طریقہ نہیں ہوتا۔

کیا وہ تینوں چیزوں کو پہلے سے بند کر دیتا ہے۔ پہلے سے رجسٹر کریں اور اجازت کے دائرہ کار کی تصدیق کریں، اور غیر مجاز کارروائیوں کو فوراً روک دیں۔ شناخت اور ماخذ کی تصدیق کریں، صرف قانونی ایجینٹس کو اندر آنے دیں۔ ہر ایجینٹ کا ماخذ اور مندوب اس ریکارڈ میں منسلک ہوتا ہے، اگر کوئی مسئلہ ہو تو اس کا تعاقب کیا جا سکتا ہے۔

نہیں، ہر جگہ کی ضرورت نہیں

مرکزی پلیٹ فارم پر دراصل KYA کی کوئی ضرورت نہیں ہوتی۔ صارفین نے KYC کر لیا ہے، اور پلیٹ فارم خود گارنٹی دیتا ہے، پوری سلسلہ بند ہے۔

KYA کی ضرورت وہیں ہوتی ہے جہاں پلیٹ فارم کے باہر کا کھلا ماحول ہوتا ہے۔ ایجینٹ کو DEX سے جوڑنا ہوگا، A2A ادائیگیاں کرنی ہوں گی، اور مالکان کو ادائیگی کرنی ہوگی۔ اس وقت کوئی بھی گارنٹی نہیں دے رہا، اور کوئی بھی اس کے لیے ضمانت نہیں دے رہا۔

ایک مثال دیں۔ ایک ملک کے اندر گھومنے کے لیے صرف شناختی کارڈ (KYC) کافی ہے۔ جب آپ سرحد عبور کرتے ہیں (پلیٹ فارم سے باہر نکلتے ہیں)، تو ماحول بدل جاتا ہے اور آپ کو دروازے پر جانچ کے لیے پیش آنا پڑتا ہے (KYA)، اور اپنے مقصد اور قابلیت کی وضاحت کرنا پڑتی ہے۔

چار مرحلہ پروسیجر

KYA کا عمل چار مراحل میں تقسیم ہے۔ پہلے دو مراحل "پاسپورٹ جاری کرنا" ہیں: پہلے ایجنٹ کی شناخت اور اجازتوں کو رجسٹر کیا جاتا ہے، اور تصدیق کے بعد ڈیجیٹل پاسپورٹ جاری کیا جاتا ہے۔ آخری دو مراحل "داخلہ جانچ" ہیں: ٹرانزیکشن کے دوران دوسرے طرف کی شناخت کی تصدیق کی جاتی ہے، اور پھر ٹرانزیکشن کے نتائج کے مطابق ریکارڈ اپڈیٹ کیا جاتا ہے۔

شناخت ایک بار جاری کرنے کے بعد مستقل نہیں ہوتی، بلکہ ہر لین دین کے دوران دوبارہ تصدیق کی جاتی ہے۔

معیار کے مقابلے میں اب چار کھلاڑی ہیں، جن کے راستے بالکل مختلف ہیں۔

ERC-8004: شناخت کو NFT بنائیں

ERC-8004 صرف آن-چین راستہ اپناتا ہے۔ یہ ERC-721 کے اوپر ایک شناخت کی تہ لگاتا ہے، جس میں ہر ایجینٹ کو ایک منفرد ID کے طور پر ایک NFT جاری کیا جاتا ہے۔

تین آن-چین رجسٹرز کے ساتھ مربوط ہے۔ شناخت "یہ ایجینٹ کون ہے" کی ذمہ داری ہے، جو ERC-721 پر مبنی منفرد AgentID پر ہے۔ عہدہ "کیا آپ اس کے ساتھ تجارت کر سکتے ہیں" کی ذمہ داری ہے، جس میں تجارت کے بعد آن-چین پر ریٹنگ، لیبل، اور ثبوت چھوڑے جاتے ہیں۔ تصدیق "کیا اس نے واقعی وہ کام کیا ہے" کی ذمہ داری ہے، جو تیسرے پارٹی ویریفائرز کے ذریعہ zkML، TEE وغیرہ پلگ انز کے ذریعہ جانچا جاتا ہے۔

یہ ساخت ایتھریم کی تاریخ میں پہلی بار نہیں ہوئی ہے۔ ERC-20 نے ٹوکن جاری کرنے کی معیاری شکل فراہم کی، USDT، USDC، UNI، AAVE سب اس پر بنے ہوئے ہیں۔ ERC-721 نے NFT جاری کرنے کی معیاری شکل فراہم کی، CryptoPunks، BAYC، ENS نے پورے NFT بازار کو سنبھالا۔ ERC-8004 کا مقصد اسی جگہ پر تیسرا معیار بننا ہے۔

ویزا ٹیپ: ادائیگی کے نیٹ ورک کے ساتھ پیک کریں

ویزا کا تصور بالکل الگ ہے۔ یہ ایجنٹ کو ایک شناختی کارڈ (Agent Intent) جاری کرتا ہے، جو ایک کلید کے برابر ہے۔ اس کلید کے بغیر، ایجنٹ کوئی ٹرانزیکشن شروع بھی نہیں کر سکتا۔ ویزا پہلے منظوری دے کر ہی کلید جاری کرتا ہے، اور ہر ٹرانزیکشن کو مارچنٹ کو دستخط کے ساتھ پیش کرنا ہوتا ہے۔

مُجھے ایک سائنچر نہیں، بلکہ تین سائنچرز ملے۔ Agent Intent ثابت کرتا ہے کہ ایجینٹ قانونی ہے، جسے VIC کے منظور کردہ کلید سے تائید کیا گیا ہے۔ Consumer Recognition یہ بتاتا ہے کہ یہ کس کے لیے کام کر رہا ہے، اور صارف شناختی نمبر کو مُجھے بھیجتا ہے۔ Payment Information ادائیگی کی گارنٹی فراہم کرتا ہے، جو ادائیگی ٹوکن یا کارڈ معلومات کے ہیش شدہ ورژن کے ذریعے تصدیق کی جاتی ہے۔

ویزا نے اس پورے نظام کو ایک بڑے پیکج میں ڈال دیا، جسے ویزا انٹیلیجینٹ کامرس (VIC) کہتے ہیں۔ اس میں TAP کے علاوہ، ایجینٹ APIs (ویزا کارڈ کے استعمال کے دوران چلنے والی اپنی ٹیکنالوجی)، ٹوکنائزیشن (AI کے لیے خصوصی طور پر جاری کیے گئے ٹوکن)، اور انٹیلیجینٹ کامرس کنیکٹ (AP2، ACP، x402 جیسے مقابلہ کرنے والے پروٹوکولز کے ساتھ مطابقت) شامل ہیں۔

منطق واضح ہے۔ ویزا نے اپنے وقت میں ادائیگی کے نیٹ ورک کا انٹری پوائنٹ پکڑ لیا، اب وہ اسی طرح اسمارٹ ایجنٹ کے دور کو بھی اپنے راستے میں شامل کرنا چاہتی ہے۔ اگر اسمارٹ ایجنٹ ادائیگیاں کار نیٹ ورک پر ہی جارہی ہیں اور یہ پیکج ڈیفالٹ آپشن بن جاتا ہے، تو ویزا کا حصہ محفوظ رہے گا۔

Trulioo: SSL کے نظام کو یہاں لائیں

Trulioo عالمی KYC، KYB کمپلائنس کے شعبے میں ایک کھلاڑی ہے، جو اب اپنی تصدیق کی سٹیک کو KYA تک وسیع کر رہا ہے۔

یہ ویب سائٹ کے SSL سرٹیفکیٹ کے منظر نامے کو اپناتا ہے۔ SSL میں CA (Certificate Authority) ویب سائٹ کو TLS سرٹیفکیٹ جاری کرتا ہے، جو صرف ڈومین نام کی تصدیق کرتا ہے۔ ترولیو نے DPA (Digital Passport Authority) کا تصور پیش کیا ہے، جو ایجنٹس کو DAP (Digital Agent Passport) جاری کرتا ہے اور ڈویلپر KYB اور صارف KYC دونوں کی تصدیق کرتا ہے۔

DAP ایک ساکت سرٹیفیکیٹ نہیں ہے۔ یہ ایک ایسا زندہ ٹوکن ہے جو ہر ٹریڈ کے ساتھ دوبارہ تصدیق ہوتا ہے۔ جب بھی ڈیلیگیشن واپس لے لی جائے یا کوئی غیر معمولی سرگرمی دریافت ہو، DAP فوراً منسوخ ہو جاتا ہے۔

اس کے پانچ چیک پوائنٹس ہیں: Provenance (کس ڈویلپر نے بنایا)، User Binding (کس نے اجازت دی)، Permission Scope (کیا کام کر سکتا ہے)، Behavior Telemetry (اب کیا کر رہا ہے)، Risk Scoring (خرابی کا درجہ)۔

بینک اور فنانس ٹیک کو قانونی طور پر افراد اور کمپنیوں کی شناخت تصدیق کرنی ہوگی۔ جب بھی ایجنٹس فنانشل سیکٹر میں داخل ہوتے ہیں، Trulioo کے KYC، KYB کے لیے مقام مزید مضبوط ہو جاتا ہے۔

Sumsub: غیر معمولی سرگرمیوں پر نظر رکھیں، لائسنس نہ دیں

سمسب کا نقطہِ شروع دوسری تین کمپنیوں سے مختلف ہے۔ یہ معیار جاری نہیں کرتا، نہ ہی سرٹیفکیٹ جاری کرتا، بلکہ جب کوئی ایجینٹ غیر معمولی لین دین کرے تو اس کے پیچھے کے شخص کی دوبارہ تصدیق کرتا ہے۔

یہ 2015 سے کامیابی کے ساتھ مطابقت پر مبنی کاروبار کر رہا ہے، اور یہ تصدیق نظام اب ایجنٹس کے غیر معمولی رویے کو پکڑنے کے لیے استعمال ہوتا ہے۔ عمل تین مراحل پر مشتمل ہے۔ پہلے آٹومیٹڈ تشخیص کی جاتی ہے، جس میں ڈیوائس اور ایجنٹ کے خصوصیات کے ذریعے انسان اور مشین کو الگ کیا جاتا ہے۔ پھر خطرہ اسکورنگ کی جاتی ہے، جس میں ماحول، رقم اور تاریخی ڈیٹا کو ملا کر خطرہ اسکور دیا جاتا ہے۔ آخر میں Liveness تصدیق کی جاتی ہے، جو صرف اعلیٰ خطرہ، بڑی رقم، یا اہم تبدیلیوں پر شروع ہوتی ہے اور رجسٹرڈ حقیقی شخص کو دوبارہ تصدیق کرتی ہے۔

سمسب کے چار خصوصیات دیگر کھلاڑیوں سے واضح طور پر الگ ہیں۔ اس کا آغاز معاہدہ کرنے والے کاروباری طرف سے ہوتا ہے، نہ کہ معیارات طے کرنے والے سے۔ تصدیق کا وقت خطرناک ٹریڈ کے دوران ہوتا ہے، نہ کہ پہلے رجسٹریشن کے دوران۔ تصدیق کا طریقہ ڈیٹا یا ٹوکن کی بجائے انسانی تصدیق ہے۔ فلسفہ یہ ہے کہ ایجینٹس کو ذمہ دار طرف سے جوڑا جائے، نہ کہ ایجینٹس کو براہ راست روکا جائے۔

دیگر صارفین اپنے کام شروع کرنے سے پہلے ایک بار کی شناخت تصدیق کرتے ہیں، جبکہ Sumsub اجرا کے بعد ریل ٹائم تصدیق کرتا ہے۔ جتنے زیادہ ایجنٹس کو اختیارات دیے جاتے ہیں، اتنے ہی زیادہ ایکسٹریم ڈیٹیکشن اہم ہوتا ہے۔ دھوکہ دہی کے طریقے ٹیکنالوجی کے ساتھ ترقی کر رہے ہیں، Sumsub کا ریل ٹائم اسٹیک قابلِ توجہ ہے۔

FATF ٹریول رول کا اسکرپٹ

2019 میں FATF سفر کے قاعده کے اطلاق کے بعد، VASP صنعت فوراً تقسیم ہو گئی۔ جن کے پاس KYC، AML بنیادی ڈھانچے کے اخراجات برداشت کرنے کی صلاحیت تھی، وہ بقا پا گئے، جن کے پاس نہیں تھی، وہ بند ہو گئے یا تنظیمی طور پر کم سخت جگہوں پر منتقل ہو گئے۔ CryptoBridge، Deribit دونوں اس لہر میں مجبوراً تبدیلیوں سے گزرے۔

监管不是终点，是分水岭。

کیا اس بار کا اسکرپٹ بھی ایسا ہی ہوگا؟ یورپی یونین، سنگاپور، امریکہ پہلے نمبر پر ہیں۔

یورپی یونین کے AI قانون کے مادہ 12 میں واضح طور پر درخواست کی گئی ہے کہ اعلیٰ خطرہ والے AI سسٹمز کے آپریشن لاگ میں آپریٹر کی شناخت شامل ہو۔ سنگاپور نے دنیا کا پہلا قومی سطح کا ایجنٹ AI گورننس فریم ورک جاری کیا، جس نے شناخت کے انتظام کو ایجنٹس تک وسعت دی ہے اور ہر ایجنٹ کے لیے ذمہ دار فرد کی ضرورت کو واضح کیا ہے۔ امریکہ کے NIST نے ایجنٹ شناخت کے انتظام کو ترجیحی معیار کے شعبہ قرار دیا ہے۔

وقتی ونڈو کم ہو رہی ہے۔

کوئی ایک فاتح نہیں ہوگا

معیار کے جھگڑے کا اصل متغیر ٹیکنالوجی نہیں، بلکہ ترکیب ہے۔ اہم کھلاڑی اب تعاون اور ترکیب کے مرحلے میں داخل ہو چکے ہیں۔ اگلے مرحلے میں، ہر ذیلی بازار کا تعین اس بات پر منحصر ہوگا کہ کون سے کاروباری، ادائیگی کے نیٹ ورکس اور KYC صارفین کے گروپس کے ساتھ جڑتے ہیں۔

اس بازار میں کوئی ایک فاتح نہیں ہوگا۔

آن لائن خود مختار ٹریڈنگ کے لیے، ایتھریم زیادہ احتمال ہے کہ اگلے ہو۔ ادائیگیوں سے جڑے ٹریڈنگ سیناریوز میں، ویزا کا فائدہ واضح ہے۔ منظم مالی صنعت میں، ٹرولیو کا KYC، KYB کا تجربہ ناقابلِ تقلید ہے۔ جھوٹھے اقدامات کے خطرے والے ٹریڈنگ سیناریوز کے لیے، سمسب کا ریل ٹائم چیکنگ زیادہ مناسب ہے۔

چاروں کسی بھی سیدھے مقابلے کے مالک نہیں ہیں، وہ ہر ایک اپنا اپنا علاقہ قبضہ کر چکے ہیں۔ اصل مقابلہ اس بات میں ہے کہ کون سے منظر کس علاقے میں آجائیں گے۔

KYC نے 1989 سے آج تک جانے کے لیے عالمی مالیاتی شناخت لیyer کو مکمل کرنے میں تیس سال لگائے۔

کیا اس بار، رفتار کافی زیادہ تیز نظر آ رہی ہے۔ نگرانی والے اب کام شروع کر چکے ہیں، معیاری کھلاڑیوں نے اپنی پوزیشنیں لے لی ہیں، اور سکیلڈ ڈپلومنٹ کا وقت صرف اگلے کچھ سالوں تک محدود ہو سکتا ہے۔

جس کا شناخت کی بنیادی ڈھانچہ سب سے پہلے جوڑا جائے، وہی بقا پا لے گا۔